Https прокси ошибка сертификата гиис дмдк

1. Устанавливаем Яндекс.Браузер (https://browser.yandex.ru/). Браузер должен быть последней версии. Если не хотите получить ошибку err_ssl_version_or_cipher_mismatch при заходе на страницу личного кабинета ГИИС ДМДК (https://lk.dmdk.ru/), то в Яндекс.Браузер в настройках системы нужно включить опцию (Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется КриптоПро CSP.). Подробнее об этом читаем по этой ссылке (https://yandex.ru/support/browser-corporate/tls/tls.html)

2. Устанавливаем КриптоПРО CSP (https://cryptopro.ru/products/csp). Для нормальной работы личного кабинета ГИИС ДМДК, КриптоПРО CSP должен быть самой последней версии, на данный момент это версия 5. Если вы имеете на руках ключ от КриптоПРО CSP 4 версии, то этот ключ должен подойти к КриптоПРО CSP 5.0.11455 (об этом можно почитать по ссылке https://github.com/deemru/chromium-gost/releases/tag/92.0.4515.160). К другим версиям КриптоПРО CSP 5 ключ от КриптоПРО CSP 4 не подойдет.

3. Устанавливаем КриптоПро ЭЦП Browser plug-in (http://www.cryptopro.ru/products/cades/plugin). Плагин должен быть самой последней версии.

4. Пользовательский сертификат на носителе ЭЦП должен быть действующий на 11 лет, иначе при заходе в личный кабинет ГИИС ДМДК будете получать сообщение об ошибке «Не удалось войти! Сертификат не соответствует требованиям. Срок действия сертификата меньше требуемого» или похожее на него. В поддержке ГИИС ДМДК сказали, что такие сертификаты выдают удостоверяющие центры «Тензор» и «Контур».

5. Скачиваем корневой сертификат Минкомсвязи России http://reestr-pki.ru/cdp/guc_gost12 и устанавливаем в хранилище «Доверенные корневые центры сертификации».

6. Скачиваем промежуточный сертификат ЗАО «Национальный удостоверяющий центр» http://www.ncarf.ru/download/zaonucpak3 и устанавливаем в хранилище «Промежуточные центры сертификации».

При заходе на страницу личного кабинета ГИИС ДМДК (https://lk.dmdk.ru/) вы получаете ошибку ERR_BAD_SSL_CLIENT_AUTH_CERT. У меня это ошибка проявилась один раз. Точно не знаю с чем она связана, но после установки всего необходимого программного обеспечения последних версий, данная ошибка исчезла.

Если все равно у вас не получается зайти в личный кабинет ГИИС ДМДК (https://lk.dmdk.ru/), то попробуйте выполнить установку и настройку всего необходимого программного обеспечения согласно официальной инструкции ГИИС ДМДК (https://dmdk.ru/upload/iblock/356/RP-1.-Nastroyka-PK-dlya-raboty-s-GIIS-DMDK.pdf)       

Все роботы выполнялись под управлением Windows 7 32 bit.

Ошибка при входе в Электронный бюджет

3. Установить сертификаты.

1. Получение сертификата усиленной квалифицированной электронной подписи

Для работы в ГИИС ДМДК обязательно необходим сертификат ключа электронной подписи руководителя организации (персональные данные владельца сертификата должны соответствовать персональным данным руководителя организации, указанным в ЕГРЮЛ). После регистрации руководителя организации, он может назначать права себе и другим сотрудникам организации. Для того, чтобы назначить права другим сотрудникам организации, им также необходимо получить сертификат ключа электронной подписи в удостоверяющем  центре и зарегистрироваться в ГИИС ДМДК, после чего руководитель организации сможет назначить сотруднику необходимые права.

В ГИИС ДМДК допускается использование только усиленной квалифицированной электронной подписи.

Для получения сертификата усиленной квалифицированной электронной подписи необходимо обратиться в удостоверяющий центр, аккредитованный Министерством цифрового развития, связи и массовых коммуникаций в соответствии с требованиями Федерального закона от 06 апреля 2011 года № 63-ФЗ «Об электронной подписи».

Со списком аккредитованных удостоверяющих центров можно ознакомиться по ссылке. Обращаем внимание, что некоторые удостоверяющие центры являются ведомственными и не выпускают сертификаты электронной подписи сторонним организациям.

Порядок получения сертификата электронной подписи и перечень необходимых для этого документов размещаются на сайте удостоверяющего центра.

Таким образом, необходимо выбрать из списка аккредитованных удостоверяющих центров наиболее удобный и ознакомиться с информацией, представленной на сайте выбранного удостоверяющего центра.

Лицензию на использование СКЗИ КриптоПро CSP также можно приобрести в удостоверяющем центре.

Существуют следующие варианты лицензий на использование СКЗИ КриптоПро CSP:

– лицензия на один год, записанная в сертификат ключа электронной подписи, которая может быть использована только с данным сертификатом (приобретается в удостоверяющем центре);

– лицензия на один год на использование на одном рабочем месте с любыми сертификатами (приобретается в удостоверяющем центре, в ООО «КРИПТО-ПРО» или у поставщиков программного обеспечения);

– бессрочная лицензия на использование на одном рабочем месте (приобретается в удостоверяющем центре, в ООО «КРИПТО-ПРО» или у поставщиков программного обеспечения). 

Требования к сертификату ключа проверки электронной подписи для работы в ГИИС ДМДК:

1. Форма сертификатов ключей проверки электронной подписи, владельцами которых являются российские юридические лица и индивидуальные предприниматели, и используемых в ГИИС ДМДК, должна удовлетворять требованиям Приказа ФСБ РФ от 27 декабря 2011 года № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки           электронной подписи», а также дополнительным требованиям.

Сертификат ключа проверки электронной подписи должен содержать следующие стандартные атрибуты:

– уникальный номер квалифицированного сертификата;

– даты начала и окончания действия квалифицированного сертификата; – ключ проверки электронной подписи;

– наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствует ключ электронной подписи и ключ проверки электронной подписи;

– наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с Федеральным законом;

– наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат;

– номер квалифицированного сертификата аккредитованного удостоверяющего центра;

– ограничения использования квалифицированного сертификата (если такие ограничения установлены).

Сертификат ключа проверки электронной подписи должен содержать следующие дополнительные атрибуты:

– «Улучшенный ключ» (OID 2.5.29.37) – в данном дополнении должны быть указаны OID 1.3.6.1.5.5.7.3.2 («Проверка подлинности клиента») и OID 1.3.6.1.5.5.7.3.4 («Защищенная электронная почта»);

– «Точка распространения списка отозванных сертификатов» (OID 2.5.29.31) – данное дополнение должно содержать протоколы доступа и адреса публикации списка отозванных сертификатов, на основании которого может быть установлен статус сертификата ключа проверки электронной подписи.

Сертификат ключа проверки электронной подписи должен содержать следующие атрибуты имени:

Стандартные и дополнительные атрибуты имени сертификата ключа проверки электронной подписи должны заполняться на русском языке с использованием символов кириллического алфавита, кроме адреса электронной почты.

2. Сертификаты ключей проверки электронной подписи и ключи электронной подписи должны использоваться совместно со средством электронной подписи КриптоПро CSP (версии 4.х или 5.х), сертифицированным ФСБ России.

3. Ключи электронной подписи должны создаваться на ключевых носителях, предназначенных для хранения ключевой информации (смарт-карты, USB-«токены»). Данные ключевые носители должны поддерживаться применяемым средством электронной подписи КриптоПро CSP.

4. Срок действия сертификата ключа проверки электронной подписи должен быть не менее 10 лет после окончания срока действия закрытого ключа электронной подписи. Данное требование связано с необходимостью обеспечения возможности проверки цепочки сертификатов в течение срока хранения электронных документов, составляющего 10 лет.

2. Подготовка рабочего места

В качестве рабочего места используется персональный компьютер с операционной системой Microsoft Windows 7/8/10 или Astra Linux CE/SE. Далее описывается подготовка рабочего места на ПК с ОС Windows, для ПК с ОС Astra Linux см. инструкцию «ГИИС ДМДК Настройка окружения в ОС Astra Linux».

2.1. Установка браузера «Спутник» со встроенным СКЗИ «КриптоПро CSP»

Загрузите установочный файл браузера «Спутник» с сайта ООО «Крипто-Про» по ссылке. При загрузке требуется указать ФИО, адрес электронной почты и дать согласие на обработку персональных данных:

Запустите установочный файл браузера «Спутник» и подтвердите установку, отвечая «Да» на запросы программы установки. Установка всех компонентов будет выполнена в тихом режиме и завершится появлением ярлыка браузера на рабочем столе:

Для активации лицензии браузера «Спутник» запустите браузер, найдите в настройках раздел «О Спутнике». На странице «О Спутнике» нажмите «Загрузить ключ лицензии из файла», в открывшемся окне выберите файл ключа лицензии license.lic и перезапустите браузер.

2.2. Установка браузеров «Яндекс.Браузер» и «Chromium GOST»

Если вы уже установили браузер «Спутник», то следующие2 пункта (установка СКЗИ КриптоПро CSP и установка КриптоПро ЭЦП Browser plug-in) пропустите.

Установка СКЗИ КриптоПро CSP

Для получения дистрибутива СКЗИ КриптоПро CSP необходимо зарегистрироваться на сайте КриптоПро по ссылке.

Послерегистрация становится доступнымраздел «КриптоПро CSP -Загрузкафайлов» по ссылке. В данном разделе необходимо скачать подходящую версию КриптоПро CSP.

Если уже имеется действующая лицензия на СКЗИ КриптоПро, то скачайте последнюю сертифицированную версию, соответствующую имеющейся лицензии.

Если лицензия отсутствует, то рекомендуется скачать последнюю сертифицированную версию СКЗИ КриптоПро CSP 5.0:

Выполните установку СКЗИ КритоПро CSP, следуя инструкциям установщика. Какие-либо специальные настройки при установке не требуются. После установки СКЗИ КриптоПро CSP необходимо перезагрузить компьютер.

Если лицензия отсутствует, то СКЗИ КриптоПро CSP будет автоматически активировано временной лицензией сроком на 3 месяца, в течение этого времени необходимо приобрести лицензию.

Установка КриптоПро ЭЦП Browser plug-in

Дистрибутив КриптоПро ЭЦП Browser plug-in необходимо загрузить с сайта КриптоПро по ссылке.

На той же странице размещена ссылка на инструкцию по установке плагина и ссылка на сервис проверки работы плагина (проверка работы плагина выполняется после установки интернет-браузера с поддержкой шифрования по ГОСТ).

Установка Яндекс.Браузер

Интернет-браузер «Яндекс.Браузер» можно загрузить по ссылке.

После установки интернет-браузера «Яндекс.Браузер» необходимо установить и включить дополнение «КриптоПро ЭЦП»:

1. Открыть в интернет-браузере «Яндекс.Браузер» ссылку (скопировать и вставить):

https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru

2. Нажать кнопку «Установить». Если на месте кнопки «Установить» располагается кнопка «Удалить из Chrome», то это значит, что дополнение было установлено ранее и установка не требуется, перейдите к шагу 3.

3. Включите дополнение.

4. В Яндекс.Браузер также необходимо включить опцию «Подключаться к сайтам, использующим шифрование по ГОСТ. Требуется Крипто.Про CSP.». Без включения этой опции  при   попытке входа в ГИИС ДМДК будет выдаваться ошибка «ERR_SSL_VERSION_OR_CIPHER_MISMATCH», так как по умолчанию браузер не работает с сертификатами, использующими шифрование по ГОСТ.

Установка Chromium GOST

Интернет-браузер «Chromium GOST» можно загрузить по ссылке. Если не знаете, какую версию выбрать, то выбирайте «chromium-gost-***-windows-386-installer.exe».

С дополнительной информацией по установке, настройке и работе с интернет-браузером «Chromium GOST» можно ознакомиться на сайте КриптоПро по ссылке.

После установки интернет-браузера «Chromium GOST» необходимо установить и включить дополнение «КриптоПро ЭЦП»:

1. Открыть в интернет-браузере «Chromium GOST» ссылку (скопировать и вставить):

https://chrome.google.com/webstore/detail/cryptopro-extension-for-c/iifchhfnnmpdbibifmljnfjhpififfog?hl=ru

2. Нажать кнопку «Установить». Если на месте кнопки «Установить» располагается кнопка «Удалить из Chrome», то это значит, что дополнение было установлено ранее и его установка не требуется, перейдите к шагу 3.

3. Включите дополнение.

4. Закрепите значок дополнения.

В случае, если защищённое соединение с порталом ГИИС ДМДК не устанавливается, необходимо включить протоколы TLS 1.1 и TLS 1.2 в Windows. Статья о включении указанных протоколов размещена на сайте Microsoft по ссылке (перевод на русский язык).

Также для включения протоколов TLS 1.1 и TLS 1.2 в Windows можно воспользоваться файлом реестра (.reg) следующего содержания:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1] [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.1Client] «DisabledByDefault»=dword:00000000

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2] [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS 1.2Client] «DisabledByDefault»=dword:00000000

3. Установка сертификатов

Скачайте корневой сертификат Минкомсвязи России по ссылке и установите в хранилище «Доверенные корневые центры сертификации».

Скачайте промежуточный сертификат ЗАО «Национальный удостоверяющий центр» по ссылке и установите в хранилище «Промежуточные центры сертификации».

Для установки сертификата пользователя подключите к компьютеру «токен», который был получен в удостоверяющем центре, найдите в меню «Пуск» каталог «КРИПТО-ПРО» и запустите «КриптоПро CSP».

Воткрывшемся окнеперейдите навкладку«Сервис»и нажмите кнопку «Просмотреть сертификаты в контейнере…».

В открывшемся окне нажать кнопку «Обзор».

В открывшемся окне выбрать контейнер закрытого ключа (в примере – «Activ Co. ruToken») и нажать кнопку «OK».

В открывшемся окне нажмите кнопку «Установить».

Если появится вопрос о замене существующего сертификата новым, нажмите «Да».

В результате должно появиться сообщение об успешной установке сертификата.

Проверка работы плагина «КриптоПро ЭЦП Browser plug-in»

После установки и настройки интернет-браузеров проверьте работу плагина «КриптоПро ЭЦПBrowser plug-in» по ссылке или нажав на значок плагина, расположенный справа от адресной строки, и выбрав пункт «Проверить работу плагина».

YR_V33	#1 Оставлено : 20 мая 2023 г. 3:19:57(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	Всем добрый день! Ошибка входа на ресурс https://lk.dmdk.ru/ Достаточно долгое время разбираюсь с этой проблемой. До этого была ошибка при проверке цепочки сертификатов. Сейчас все корректно, теперь следующая ошибка: «Этот сайт не может обеспечить безопасное соединение. Ваш сертификат отклонен сайтом lk.dmdk.ru или не был выдан.» Переписка с ТП результатов не принесла, а на этом форуме многим помогли, может и мне поможете. Спасибо!

YR_V33	#2 Оставлено : 20 мая 2023 г. 4:04:46(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	Интересная особенность. Если ставить версию крипто про 5,0,12000, то: «Ошибка при проверке цепочки сертификатов», если ставить версию крипто про 5.0.12800, то: ошибка «Этот сайт не может обеспечить безопасное соединение». А если опять поверх накатить крипто про 5.0.12800 то вход в личный кабинет чудесным образом начинает работать, НО до первой перезагрузки, потом такая же история: «Этот сайт не может обеспечить безопасное соединение»

nickm	#3 Оставлено : 20 мая 2023 г. 8:57:07(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,067 Сказал(а) «Спасибо»: 317 раз Поблагодарили: 168 раз в 155 постах	Автор: YR_V33 До этого была ошибка при проверке цепочки сертификатов. Возможно по той причине, что Вы не отработали инструкцию и не установили промежуточный сертификат: Цитата: Скачать промежуточный сертификат АО «Аналитический Центр» http://iecp.ru/UC_AC/AC2020.crt и установить в хранилище «Промежуточные центры сертификации»; Автор: YR_V33 теперь следующая ошибка: «Этот сайт не может обеспечить безопасное соединение.» А из-под какой системы Вы пытаетесь подключиться? Можно предположить, что со стороны сайта используются устаревшие/ не поддерживаемые протоколы, и/ или какое-то защитное ПО блокирует подключение (из-под рабочей системы «W10» доступ получить так же не могу, а вот со стенда «Calculate Linux» указанный ЛК открывается, по крайней мере запрашивается сертификат). Например, некоторое защитное ПО может ограничивать использование устаревших протоколов, а так же могут присутствовать обновления/ политики ограничивающие использование оных.

YR_V33	#4 Оставлено : 20 мая 2023 г. 9:18:42(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	Автор: nickm Автор: YR_V33 До этого была ошибка при проверке цепочки сертификатов. Возможно по той причине, что Вы не отработали инструкцию и не установили промежуточный сертификат: Цитата: Скачать промежуточный сертификат АО «Аналитический Центр» http://iecp.ru/UC_AC/AC2020.crt и установить в хранилище «Промежуточные центры сертификации»; Автор: YR_V33 теперь следующая ошибка: «Этот сайт не может обеспечить безопасное соединение.» А из-под какой системы Вы пытаетесь подключиться? Можно предположить, что со стороны сайта используются устаревшие/ не поддерживаемые протоколы, и/ или какое-то защитное ПО блокирует подключение (из-под рабочей системы «W10» доступ получить так же не могу, а вот со стенда «Calculate Linux» указанный ЛК открывается, по крайней мере запрашивается сертификат). Например, некоторое защитное ПО может ограничивать использование устаревших протоколов, а так же могут присутствовать обновления/ политики ограничивающие использование оных. 1) Инструкция отработана. 2) Win10 3) Защитное ПО выгружено 4) ПО шагам. Были установлены: Яндекс, Спутник, Хромиум; установлен КриптоПро 5.0.12800; установлен плагин; Установлены сертификаты в верные центры сертификации; установлен пользовательский сертификат. Из всех перечисленных браузеров в личный кабинет удается войти только через яндекс браузер. Перезагружаемся… получаем ошибку, которая указана в теме. Ставим поверх эту же версию КриптоПро — вход в личный кабинет работает. Перезагружаемся, пробуем войти в ЛК ДМДК — ошибка … Открываем Яндекс, проверяем плагином — все отлично (без ошибок) Пытаемся зайти в ЛК ДМДК появляется окно выбора сертификата —> ОК — ошибка, если опять сверху накатить КриптоПро — зайдет в ЛК, но опять же, до первой перезагрузки.

nickm	#5 Оставлено : 20 мая 2023 г. 9:58:57(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,067 Сказал(а) «Спасибо»: 317 раз Поблагодарили: 168 раз в 155 постах	Автор: nickm (из-под рабочей системы «W10» доступ получить так же не могу, а вот со стенда «Calculate Linux» указанный ЛК открывается, по крайней мере запрашивается сертификат). Заинтересовал вопрос, решил проверить открытие из-под разных систем… Из-под рабочей «W10» так и не могу попасть, но тут и политики безопасности выкручены и защитное ПО — пойди разберись. «ROSA»: «Calculate»:

YR_V33	#6 Оставлено : 20 мая 2023 г. 10:01:46(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	ТП сообщила что моя заявка перенаправлена на 2-ую линию поддержки

YR_V33	#7 Оставлено : 20 мая 2023 г. 10:02:55(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	Автор: nickm Автор: nickm (из-под рабочей системы «W10» доступ получить так же не могу, а вот со стенда «Calculate Linux» указанный ЛК открывается, по крайней мере запрашивается сертификат). Заинтересовал вопрос, решил проверить открытие из-под разных систем… Из-под рабочей «W10» так и не могу попасть, но тут и политики безопасности выкручены и защитное ПО — пойди разберись. «ROSA»: «Calculate»: Вот и хочется понять что же все-таки мешает входу в ЛК с win10

nickm	#8 Оставлено : 20 мая 2023 г. 11:02:31(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,067 Сказал(а) «Спасибо»: 317 раз Поблагодарили: 168 раз в 155 постах	Автор: nickm и защитное ПО — пойди разберись. Не поленился, настроил исключения в «KES» и получил: А без исключений получаю это:

YR_V33	#9 Оставлено : 20 мая 2023 г. 11:28:20(UTC)
Статус: Участник Группы: Участники Зарегистрирован: 19.05.2023(UTC) Сообщений: 12 Сказал(а) «Спасибо»: 1 раз	Автор: nickm Автор: nickm и защитное ПО — пойди разберись. Не поленился, настроил исключения в «KES» и получил: А без исключений получаю это: Я тоже не ленился, добавлены в исключения в Kaspersky маски личного кабинета. Сейчас ПК под рукой нет, чтобы показать что именно там включено. Если поделитесь как именно буду премного благодарен!

nickm	#10 Оставлено : 20 мая 2023 г. 11:36:29(UTC)
Статус: Активный участник Группы: Участники Зарегистрирован: 31.05.2016(UTC) Сообщений: 1,067 Сказал(а) «Спасибо»: 317 раз Поблагодарили: 168 раз в 155 постах	Автор: YR_V33 чтобы показать что именно там включено 1. Политика «KES»—> «Базовая защита»—> «Защита от веб-угроз»—> кнопка «Настройка»—> вкладка «Доверенные веб-адреса»—> добавляем, например, так: *.dmdk.ru/* Сохраняем, убеждаемся, что «замочки» в параметре политики закрыты. 2. Политика «KES»—> «Общие настройки»—> «Настройки сети»—> кнопка «Доверенные адреса»—> добавляем, например, так: *.dmdk.ru Сохраняем, убеждаемся, что «замочки» в параметре политики закрыты. Ждём применение политики на клиенте, проверяем работу сайта.

Быстрый переход
 

Вы не можете создавать новые темы в этом форуме.

Вы не можете отвечать в этом форуме.

Вы не можете удалять Ваши сообщения в этом форуме.

Вы не можете редактировать Ваши сообщения в этом форуме.

Вы не можете создавать опросы в этом форуме.

Вы не можете голосовать в этом форуме.